Proofpoint ha publicado un análisis acerca de una nueva campaña en la que un grupo de ciberdelincuentes distribuye correos electrónicos de phishing a empleados para obtener acceso a sus cuentas de Microsoft Azure y Office 365.
A través de esos correos, redirigen a las víctimas a un falso inicio de sesión de Microsoft. En cuanto a las actividades post-explotación, utilizan una cadena de agente de usuario específica para acceder a varias aplicaciones de Microsoft 365, como Exchange Online, My Signins, My Apps y My Profile, además de emplear proxies o servicios de alojamiento de datos para ocultar su infraestructura operativa.
Cabe destacar que se dirigen especialmente contra empleados que tienen más privilegios dentro de sus organizaciones, como directores, gerentes y ejecutivos. Proofpoint recomienda varias medidas como monitorear el uso de la cadena de agente de usuario y los dominios de origen, restablecer las contraseñas vulneradas, usar herramientas de seguridad para detectar eventos o aplicar mitigaciones estándar contra el phishing.
Seguir leyendo [EN]: Community Alert: Ongoing Malicious Campaign Impacting Azure Cloud Environments